즐겨 듣는 팟캐스트 중에 김남훈 님의 과이언맨이 있습니다.





팟캐스트 과이언맨



과이언맨 Ep.21 언니를 빡치게한 액티브X 에서 trexx 님께서 나오셔서 액티브 X 문제에 대해서 얘기를 했죠.

하지만, 제가 아는 바와 다르거나 생각이 다른 부분이 많아 글 남깁니다.


먼저 저도 OS X(맥)과 리눅스 사용자이기도 하고 액티브 X 설치하는거 무척 싫어합니다. (인터넷도 가상환경에서만 하는데 인터넷 뱅킹이나 물건 하나 살 때마다 액티브 X 설치해야해서 짜증나는 사람입니다.) 


국내 인터넷 환경에 문제가 많다고 생각하고 있지만 잘못된 내용이 사실 인것 처럼 알려지는 것도 문제라고 생각됩니다




과이언맨 Ep.21 중



과이언맨 에피소드




- 24:42 - "인터뷰를 보안업체에서 많이 한다."


  저는 오히려 컴퓨터와 상관없는 교수님이나 컴퓨터 분야이긴해도 보안 분야가 아닌 분들이 나와서 잘못된 얘기를 하는 경우를 더 많이 봤습니다.


  예를들어 이런거죠..


 - 농협해킹이 액티브X 때문에 ?!

  http://xcoolcat7.tistory.com/767


  이부분은 개인적인 느낌 차이는 있을 수 있겠죠.


  보안업체 사람들이 나와서 얘기하는건 액티브X 옹호하는 얘기 뿐이라고 생각하기 전에 어느 부분에서 액티브 X 혹은 보안 프로그램을 사용할 수 밖에 없는가하는 부분도 방송에서 얘기를 해줬으면 하는 아쉬움이 있습니다.

  보안업체 사람들은 비전문가들이 나와서 잘못된 얘기를 할 때 기술적으로 틀렸음을 얘기한 것 처럼요.



- 25:29 : "제가 그 사람들 보다 전문적인 지식은 떨어질지 몰라도 아무래도 기본적인 배경에 대해서는 얘기를 할 수 있다."


  방송을 듣다보면 아래에 언급 한 것 처럼 잘못 알고 계신 부분이 있습니다.  


  예전에 컴퓨터 전문가로 인터뷰 나온 분도 국내 보안 문제의 모든게 액티브 X 때문이라고 말씀하신 분이 계셔 직접 만나 얘기하니 중간에 이런 말씀을 하시더군요.


  "제가 보안에 대해 뭘 알겠습니까 ?"

  (분명 이렇게 말씀하셨는데 그분은 기억 못하실 수도 있습니다. 어쨌든 지금도 종종 연락하고 지냅니다.)


  "잘 모르시면서 왜 방송에 나가서 그런 말 하시는지요 ?"라고 묻고 싶었지만 참았습니다 ㅋ


  이런 문제는 보안이라는 분야가 컴퓨터 좀 안다는 사람들도 접근하기 쉽지 않아서 발생하는게 아닐까 싶네요.


--> 팟빵 사과님께서 그럼 전문가만 의견을 말해야 하냐고 하셨습니다. 누구나 자기 의견을 말할 자유는 있죠. 다만, 어떤 사안을 주장하기 전 사실 확인을 좀 더 해서 얘기하는 책임성에 대한 부분입니다.



  

- 47:30 : "다 필요없는거죠."


  키보드 보안 등이 다 필요없다고 했는데 도대체 무슨 근거로 다 필요 없다고 하는지  도대체 무슨 근거로 다 필요없다고 단언하는지 의문입니다.

   

  이런 프로그램이 보호를 못한다는 말인지 기술적으로 저런 프로그램이 설치되어 있어도 해킹 가능하다는 의미인지 모르겠네요.


  이 부분은 보안 프로그램이 공격으로 부터 일정 부분 방어는 해준다 하지만 기술적으로 모두 막지는 못한다.

  그렇다면 사용자 불편 (설치, 충돌 가능성 등)을 감수하고도 사용할 만한 가치가 있는지 논쟁을 해야하는 부분입니다.

-> 이미 악성코드가 감염되어 있다면 키보드 보안 등의 프로그램이 어떤 의미가 있느냐는 의문도 있었는데... 없는 것 보다는 안전 합니다.



- 47:45 : "사실은 그게 다 바이러스예요. 엄밀하게 말하면"


  보안 프로그램이 바이러스 작동원리하고 똑같기 때문에 (사실 똑같지도 않지만) 바이러스라고 하는 주장은 말이 안됩니다

  기법은 유사할지 몰라도 악성코드는 사용자에게 피해를 입히기 위한 프로그램이고 보안 프로그램은 보호하기 위한 프로그램입니다

  목적 자체가 다른데 동일하다고 보는건 문제 있는 시각이라고 생각합니다.



- 48:50 : "프로그램을 만든 업체는 정부와 결탁되어 있어요."


  대표적인 음모론이라고 할 수 있죠. (방송 뒷부분에서는 그렇게 생각한다라고 말씀을 하셨습니다만..)

  그렇게 믿는건 자유이지만 음모론적 논리 밖에는 안됩니다.


  정말 술 상무가 있어서 국가 정책을 좌지우지 할 수도 있습니다.

  - 하도 많이 들어 정말 그런게 있나 싶네요.


  영업쪽은 자세히는 모르지만 사용자 컴퓨터에 프로그램 하나 설치했다고 돈 받는게 아니고 납품하면 일정 금액을 받는 걸로 알고 있습니다. 게다가 경쟁이 치열해 엄청나게 저가에 납품되는 제품들도 있다고 들었습니다. 

 

  원래 공인인증서만 있던게 키보드 보안, 방화벽, 피싱 방지 등이 하나하나 추가된건 바로 업체 로비 보다 [보안 사고] 때문이 아닐까 합니다. 보안 사고가 발생하고 이를 막기 위해서는 그에 맞는 보안 프로그램이 필요하게 된거죠.

  - 이쯤되면 해킹은 보안 업체에서 한다는 음모론도 또 등장하겠네요. 쩝


  음모론을 믿는건 자유이지만 방송에서 얘기할 때는 조금 신중할 필요가 있습니다.


-> 저 역시 몇몇 기업들의 정부나 권력자들과 유착된게 아닐까하는 의심을 가지는데 일반인들이 보안 업체에 대해 그런 의심을 가지는게 당연 할 듯 합니다. 저 역시 보안업계에 있지만 제가 속한 부분은 전체 보안 부분에서 일부에 불과하기 때문에 제가 알고 지내는 사람은 한정 될 수 밖에 없습니다. 그리고, 보안 업체가 처음에 고객을 보호하기 위한(안철수 의원이 컴퓨터 바이러스 백신을 만든 것 처럼) 제품을 내놓지만 사업이 되면 수익을 고려 할 수 밖에 없고 어느 정도 산업이 커지면 장사꾼 내지 사기꾼들이 들어오기 마련입니다. 보안쪽도 예전부터 장사꾼이나 사기꾼들이 많이 있고 이런 상황이 된 것도 그들의 농간일지도 모릅니다. 하지만, 제가 본 보안업계가 그정도로 유능한가라고 한다면 글쎄요라는 생각만 드네요. 국내 최대 보안회사가 1000억 정도 매출액이고 그나마 매출액에서 웹사이트 보안 솔루션이 차지하는 매출액은 얼마 안됩니다. 국가 정책에 맞춰 제품을 만들 정도는 되어도 정책에 큰 영향을 끼칠 정도로 유능하지는 않을 듯 합니다. 보안에 투자를 거의 안하는 우리나라 환경을 생각하면 더더욱 그렇죠. 



- 51:00 : "https가 되면 키보드 보안이라는게 필요가 없는거죠."


  통신 구간의 암호를 혼돈한 대표적인 잘못입니다

  - 보안 프로그램 필요 없다고 주장하는 사람들의 대표적 오해이기도 합니다.


  https 는 내 컴퓨터에서 서버로 이동하는 데이터를 암호화해서 중간에서 누군가 훔쳐보지 못하게 하는데는 효과적입니다.

  하지만, 사용자 컴퓨터에 악성코드가 감염되어 있으면 암호화하기 전의 데이터를 볼 수 있고 사용자가 입력하는 것도 알 수 있기 때문에 키보드 보안과 방화벽 등이 설치 되는 겁니다.


  다르게 얘기하면 사용자 컴퓨터가 악성코드에 감염되지 않았다면 불필요한 기술이기도 합니다.

  이점에서 저는 사용자가 모두 악성코드에 감염되었다고 가정하는 국내 보안 정책이 잘못되었다고 생각합니다.


- 51:10 : "사이트 인증을 받게 되면 알아서 보안이 된다."

  

  (이쪽은 인증부분이라 잘 모르는 영역이라 틀릴 수 도 있습니다.)


  서버에서 인증서를 발급 받는건 이 사이트가 누구라는걸 의미 할 뿐 그 사이트가 악성코드나 해킹의 [위협]으로 부터 안전하다는걸 의미하지는 않습니다.


  태권도 검은 띠를 땄다고해서 싸울 때 안 맞는게 아니죠.



- 53:30 : "보안 업체 사람들은 사용자를 탓하죠."


  보안은 서비스 제공자, 사용자 모두 신경 써야 하는 문제입니다.

  질병 예방을 위해 여러가지 습관을 가지라고 합니다. 하지만, 그렇게 해도 질병에 걸리는 사람은 걸립니다.

  

  사용자 암호가 털리는건 크게 사용자로부터 그리고 사이트로 나눌 수 있습니다.


  사용자 컴퓨터에 악성코드가 감염되어 그 암호를 누군가 훔쳐 볼 수 있죠. 그리고, 사이트가 해킹된 후 DB 가 털려서 암호를 알아 낼 수 있습니다. 많은 사용자들이 동일 ID와 암호를 사용합니다

  만약 사용자가 사이트마다 다른 ID나 암호를 이용하고 주기적으로 암호를 바꾼다면 사이트 해킹으로 알아낸 암호를 사용 할 수 없을 겁니다.


-> 이부분은 사용자의 책임으로만 여기냐는 의견도 있더군요. 다시 한번 강조하지만 보안은 서비스 이용자(사용자), 제공자 모두 신경 써야 합니다.


---------------



이외에도 얘기하고 싶은 부분이 많지만 같은 방송 두번 듣는 것도 너무 힘드네요 TT


딴지일보에도 관련된 내용 올린다고 하셔서 내용 수정되어야 할 것 같아 trexx 님께 메일 주소 남겨 놨는데 답이 올지는 모르겠네요.

(방송 내용 그래도 올라가면 보안일 하는 사람들에게 엄청 까일 수 있습니다.)

-> trexx 님과 연락이 되었네요. 좋은 글 부탁드립니다. trexx 님 !


---------


많은 얘기가 이미 5년 전에 글로 남긴 건데 여전하네요.


- 국내 악성코드와 액티브X컨트롤로 본 오픈웹에 바라는 점

http://xcoolcat7.tistory.com/687


가장 큰 문제는 과거 액티브 X  없애려는 사람들의 과장된 혹은 잘못된 주장이 계속 반복되고 있다는 점입니다. 그들의 논리에 문제가 많다는건 이미 몇 년전에 보안업체 사람들과 토론에서 증명되었구요. 하지만, 일반인 혹은 컴퓨터 좀 하는 사람들도 그들의 잘못된 주장을 여전히 믿고 있습니다.


예를들어 우리나라 악성코드 감염이 높은데 액티브 X 때문이라는 주장이었고 이게 일반인들 사이에 확산되어서 보안 사고 관련 기사 댓글에 달리더군요. 이제 액티브 X 걷어 낸다고 하는데 그때 국내 악성코드 감염율이 떨어지는지 한번 두고 보면 알겠죠.


또 한가지 섭섭한건 방송만 들으면 보안업체는 필요도 없는 보안 프로그램을 정부와 결탁해 돈 벌기 위해 판매하는 파렴치한 기업처럼 느껴집니다. (심지어 정보를 국가에 제공하는 것 처럼 묘사하더군요 -.-;;;)


보안이 잘되면 아무일 없고 조금만 못해도 욕먹는 일이긴 하지만 보안업계에서 일하는 사람으로써는 맥이 풀리네요.


정리하면 우리나라 처럼 개인 사용자 컴퓨터가 악성코드에 감염되었다고 가정하고 시작하는 보안은 분명 문제가 있습니다. 보안 프로그램의 잦은 [충돌] 문제는 보안 업체에서 좀 더 신경써야 하는 부분입니다.


설치되는 프로그램은 비록 완벽하지 않지만 보안을 위해 일정 부분 필요한 부분이 있지만 전혀 필요 없는 사람들도 있습니다. 결국 논란의 핵심은 악성코드에 감염되어 정보가 유출 될 수 있는 몇몇의 사용자를 위해 모든 사람들의 컴퓨터에 보안 프로그램을 [강제]하는 정책이 옮으냐가 되어야 합니다.


누가 그 정책을 만들까요 ? 정말 정부와 결탁한 보안업체일까요 ?

왜 제 주변에 있는 보안 업계 사람들은 현재 보안 정책에 문제가 있다고 토론회 나가서 매번 얘기를 할까요 ?

(알았다고 하지만 정책은 이상하게 결정되고 있습니다만...)


그리고, 외국의 간편 결제 얘기를 많이 하지만 그쪽도 보안 사고 엄청납니다.



 

핀테크 지원협의체 출범, 핀테크란?…'간편결제' 풍문으로 들은 IT (중앙일보. 2015년 4월 14일)

http://article.joins.com/news/article/article.asp?total_id=17585652





외국에서는 서버에서 부정 사용을 차단하는 방식을 주로 사용하지만 그것도 한계가 있고 일정 부분 발생하는 부정사용은 그냥 돈으로 보상하고 있습니다. 그래서, 사용자 컴퓨터에 설치할 보안 솔루션(국내 업체 포함) 도입도 고민하는 곳이 많은데 차이라면 강제가 아니라 사용자가 [선택] 할 수 있다고 알고 있습니다.


끝으로 보안업체에서 일하는 후배 녀석 댓글로 마무리 합니다.







저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요

  1. 100 2015.06.10 15:54 신고  댓글주소  수정/삭제  댓글쓰기

    글 쓰신 정성이 대단하십니다. ^^;

    • mstoned7 2015.06.10 22:04 신고  댓글주소  수정/삭제

      방송 듣고 빡쳐(?) 순식간에 글 썼는데... 평소 모드는 그냥 귀차니즘 입니다 ㅎㅎ 그나저나 하루빨리 액티브X가 없어져야 하는데 기사 보면 액티브 X가 사라지지 않는 문제를 서로 전가하고 있더군요 @.@



매크로 악성코드의 증가가 눈에 띄게 느껴진건 작년 하반기 부터입니다.

2015년에는 갑자기 급격히 증가하게 되었습니다.

- 하루에 100개 가까지 접수 된 적도 잇습니다.

그래서 매크로 악성코드 관련 콘텐츠를 작성해야겠다고 생각하고 신입 분석가 JYP와 같이 작업했습니다.


원래는 설 전에 작성하려 했지만 매크로에 암호 걸린 문서 깨기, XML 형태 등장 등 몇가지 돌발(?) 변수가 발생해 더 보강된다고 늦어졌습니다.


내부판을 일단 만들고 공개 가능한 내용으로 월간 안 2015년 4월호에 실렸고 일부를 정리해서 ASEC 블로그에 올렸습니다.


사회공학 기법 사용하는 매크로 악성코드 주의

(http://asec.ahnlab.com/1027)


[Threat Analysis] 매크로 악성코드 증가…올드보이의 귀환?


http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=2&seq=23501


월간 안 2015년 4월 호는 아래에서 다운로드 가능합니다.

http://download.ahnlab.com/kr/site/magazineAhn/ahn_201504.pdf

저작자 표시
신고
Posted by mstoned7

댓글을 달아 주세요



티스토리 툴바